GitLab 多个高危漏洞通告

2022-07-0210

一、背景介绍

7月1日,市委网信办技术支撑单位监测到GitLab 官方发布安全公告,修复了GitLab 社区版(CE)和企业版(EE)中多个安全漏洞。经研判,以下4个重要漏洞值得关注(CVE-2022-2185、CVE-2022-2235、CVE-2022-2230、CVE-2022-2229)。

1.1部分漏洞详细介绍:

(1)GitLab 远程代码执行漏洞(CVE-2022-2185)

GitLab 社区版(CE)和企业版(EE)中存在一个远程代码执行漏洞,经过身份验证的攻击者 

通过利用该漏洞导入恶意项目,最终可实现在目标服务器上执行任意代码。

(2)GitLab 跨站脚本(XSS)漏洞(CVE-2022-2235)

GitLab 企业版(EE)存在一个 XSS 漏洞,经过身份验证的攻击者通过诱导用户点击特制的 

恶意文件可以成功利用该漏洞。

(3)GitLab 存储型 XSS 漏洞(CVE-2022-2230)

GitLab 社区版(CE)和企业版(EE)的设置页面中存在一个存储型的 XSS 漏洞,拥有高权限 

的攻击者利用该漏洞可导致以受害者的名义在 GitLab 中执行任意 JavaScript 代码。

(4)GitLab 授权不当漏洞(CVE-2022-2229)

GitLab 社区版(CE)和企业版(EE)的设置页面中存在一个授权不当漏洞,未经身份验证的 

攻击者可在所属的公共项目或私人项目中提取出攻击者已知名称的,且未受保护变量的值。

1.2 漏洞编号

CVE-2022-2185

CVE-2022-2235

CVE-2022-2230

CVE-2022-2229

1.3 漏洞等级

高危


二、修复建议

2.1 受影响版本

CVE-2022-2185: 

GitLab CE/EE 14.0 <14.10.5 

GitLab CE/EE 15.0 <15.0.4

-GitLab CE/EE 15.1<15.1.1 

CVE-2022-2235: 

GitLab EE 14.5 < 14.10.5 

GitLab EE 15.0 <15.0.4 

GitLab EE 15.1 <15.1.1 

CVE-2022-2230: 

GitLab CE/EE 14.4 < 14.10.5 

GitLab CE/EE 15.0 < 15.0.4 

GitLab CE/EE 15.1 < 15.1.1 

CVE-2022-2229: 

GitLab CE/EE 13.7 < 14.10.5 

GitLab CE/EE 15.0 < 15.0.4 

GitLab CE/EE 15.1 < 15.1.1 


2.2 修复建议

目前官方已发布新版本修复了上述漏洞,请受影响的用户尽快升级至最新版本进行防护, 

官方下载链接:https://about.gitlab.com/update/